Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для корректной работы WNAM вам необходимо спроектировать и настроить соответствующее сетевое окружение.

Типовая схема сети приведена на рисунке. В сети вашей компании (это может быть внутренняя сеть небольшого офиса, либо отдельный сегмент большой сети, предназначенный для служебных нужд) устанавливается сервер, на котором будет работать программное обеспечение WNAM, и сопутствующие службы. Это может быть как физический сервер, так и виртуальная машина.

Ключевым компонентом сети является хотспот - устройство, на котором производится перенаправление HTTP-сессии Wi-Fi абонента на внешний портал авторизации. Это может быть:

запроектировать и настроить значительное число компонентов, а именно:

  • Устройства сетевого доступа NAS (контроллеры БЛВС для гостевого и/или корпоративного подключения, коммутаторы ЛВС, шлюзы VPN
  • контроллер беспроводных точек доступа, который имеет соответствующие функции (называемые производителем hostspot/wispr/external captive portal и т.п.): Cisco WLC, Huawei, Ruckus, Bluesocket vWLC, Ruckus, Zyxel NXC, Aruba, UniFi, HP MSM и т.п.
  • любая "бытовая" точка доступа с установленной прошивкой OpenWrt/dd-wrt и программным пакетом CoovaChilli

  • маршрутизатор с функцией портала перехвата hotspot, возможно со встроенной точкой доступа: Mikrotik (модели hAP, CCR, CHR, RBxxx и т.п.)
  • сервер-маршрутизатор Linux, выполняющий роль шлюза по умолчанию для сети абонентов Wi-Fi

  • маршрутизатор на основе pfSense (клон FreeBSD) с функцией Captive Portal 

  • сервер-концентратор доступа BRAS, например Cisco 7200, Cisco ASR, Alcatel-Lucent SR7750, Juniper MX, RDP.RU (требует дополнительной лицензии)

В первую очередь, вы должны построить беспроводную сеть доступа для ваших абонентов. В случае контроллерно-управляемых точек доступа, точки должны соответствовать контроллеру. В остальных случаях можно использовать любые точки доступа. Из соображений безопасности крайне желательно разграничить сетевые сегменты открытой (публичной части), и вашей внутренней сети. Такое разграничение можно обеспечить либо на физическом уровне, либо при помощи VLAN.

В приведенном ниже примере в качестве точек доступа используются Ubiquiti UniFi (открытая сеть без встроенного портала), в качестве маршрутизатора/хотспота Mikrotik.

Image Removed

Для идентификации через СМС сервер будет отправлять команды на отправку СМС с кодом доступа через шлюз СМС-провайдера (в настоящее время поддерживаются провайдеры SMSCWebsms.By, smstraffic, МТС.Коммуникатор, отправка через локально установленный USB GSM модем (утилита gammu), через установленный в маршрутизатор Mikrotik USB модем, или через любого провайдера по протоколу SMPP через утилиту kannel). Возможна также отправка голосового вызова на телефон абонента, где автоматически будет продиктован код доступа, через нескольких операторов, а также приём звонка от абонента через шлюз Asterisk.

Если у вас несколько площадок, где вы предоставляете доступ пользователям, вы можете установить на каждой из них по своему маршрутизатору Mikrotik. В таком случае вам необходимо настроить несколько экземпляров "серверов доступа" и "площадок" в соответствующих разделах интерфейса WNAM (внимание: количество площадок лицензируется). Если места предоставления услуги находятся где-тов Интернете (который предоставляет на месте альтернативный провайдер), вы можете связать площадки с центральным узлом (где находится сервер) при помощи VPN (OpenVPN, VPLS, VLAN и т.п.):

Image Removed

Вы можете также привязать несколько площадок на один маршрутизатор MikroTik (несколько экземпляров HotSpot).

Перед настройкой сервера WNAM и хотспота на беспроводном контроллере/маршрутизаторе вы должны убедиться, что сама беспроводная сеть настроена правильно. Абоненты должны подключаться к сети, получать IP-адрес (работает DHCP), должна функционировать служба DNS, маршрутизация трафика, служба трансляции адресов (NAT). Без корректно работающей беспроводной сети в режиме "без авторизации" переходить к настойке WNAM не следует.

Для успешной работы сервиса авторизации необходима настройка трёх компонентов: WNAM-портала, WNAM-RADIUS-сервера, службы HotSpot на устройстве.

При первоначальном подключении абонента проводится его идентификация и перенаправление сессии на внешний сайт или рекламу, при последующих - только перенаправление. При идентификации производится привязка МАС-адреса абонентского устройства к номеру мобильного телефона абонента. При этом производится отправка абоненту кода подтверждения, который тот должен ввести на специальной странице. Таким образом становится реальным розыск абонента, пользовавшегося вашей радио-сетью, по запросу от соответствующих органов. Схема работы "по шагам" приведена ниже.

  1. Пользователь подключает свое беспроводное устройство (ноутбук, смартфон, планшет) к беспроводной сети (без авторизации), построенной на основе UniFi или иного радио-оборудования, получает IP-адрес от маршрутизатора (DHCP).
  2. Пользователь открывает какую-либо страницу в сети Интернет (либо его устройство само открывает страницу).
  3. Маршрутизатор или контроллер (компонент HotSpot) считает сессию пользователя "не авторизованной" и производит перенаправление сессии пользователя "на себя".
  4. HotSpot отображает пользователю собственную страницу авторизации (например, rlogin.html для Mikrotik). Указанная страница (шаблон) должны быть предварительно загружена в маршрутизатор, и в ней указана автоматическая отправка формы на внешний сервер WNAM. Производители контроллерно-управляемого радио-оборудования имеют такую функцию в настройках контроллера.
  5. Форма содержит ссылку на встроенный в WNAM веб-сервер, который показывает пользователю страницу СМС-идентификации.
  6. Пользователь вводит номер своего телефона.
  7. При получении номера телефона WNAM генерирует случайный (4 или 6-циферный) код активации, и через СМС-шлюз отправляет его на указанный телефон. Альтернативным способом является запрос пользователя отправить с этого телефона СМС на указанный вами номер - в таком случае, оплата за СМС перекладывается на абонента. 
    Image Removed
  8. Пользователь вводит код подтверждения
  9. При совпадении WNAM производит редирект (средствами HTTP redirect) сессии пользователя в сторону HotSpot маршрутизатора, либо открывает доступ пользователю иным способом.
  10. HotSpot производит проверку МАС-адреса пользователя путём отправки RADIUS-запроса серверу WNAM
  11. RADIUS-сервер, встроенный в WNAM, обрабатывает на авторизацию (MAC-адрес абонентского устройства пользователя, идентификаторы площадки, текущий IP-адрес и т.п.).
  12. WNAM авторизует такое обращение, создает в своей базе учётную запись абонента (пользователя) по МАС-адресу (если такого адреса ещё не было)
  13. RADIUS-сервер возвращает ответ маршрутизатору
    Image Removed
  14. Маршрутизатор авторизует на своем портале HotSpot сессию пользователя, открывая ему доступ в Internet. 
  15. Одновременно с этим отправляет RADIUS-серверу запрос начала сессии (Accounting-Start).
  16. RADIUS-сервер в WNAM создаёт запись о новой сессии. Периодически получая сообщения о статусе сессии, WNAM ведет статистику о переданном абонентом трафике.
  17. При настройке на маршрутизаторе или контроллере отправки детальных сведений о трафике абонента в сторону WNAM производится привязка получаемой статистики к текущей сессии абонента, и хранение её в базе данных для возможного последующего розыска абонента.
  18. По завершении сессии (тайм-аут) сессий закрывается, а пользователь, если ещё не отключился и активен, снова перенаправляется на страницу подтверждения.
    Image Removed

На один номер телефона можно привязать несколько устройств (МАС-адресов), в том числе тех, которые не имеют SIM-карты. Время жизни такой авторизации определяется в параметрах (меню "Конфигурация" - "Общие настройки" - "Авторизация" - "Длительность авторизации телефонного номера"), либо в индивидуальных настройках площадки. рекомендуется выставлять это время в 180 дней. При повторных подключениях того же пользователя, если с момента авторизации не прошло указанное выше время, производится безусловная (без подтверждений и СМС) авторизация сессии.

Беспроводная сеть никак не может защититься от ситуации с подменой МАС адресов беспроводных устройств, WNAM также не сможет обеспечить такой защиты. В случае автоматической смены МАС-адреса на устройства (т.н. "рандомизация MAC-адреса") WNAM узнаёт это устройство как новое, ранее не авторизованное в сети. Это не недоработка WNAM, а издержки технологии.

Настройки административного интерфейса WNAM позволяют установить содержимое страниц, отображаемых абонентам при первоначальном подключении (авторизации) и при каждом последующем подключении к сети. Помимо демонстрации рекламных материалов, формы согласия с условиями предоставления услуги возможно безусловно перенаправлять HTTP-сессию абонента на указанный вами сайт. Во всех случаях производится учёт числа показов и переходов по страницам каждого из типов, с возможностью получить детальную статистику в административном интерфейсе WNAM.

При поступлении запроса от вышестоящего провайдера или компетентных органов о сведениях об абоненте, посетившем определенный ресурс в сети Интернет в заданный промежуток времени, WNAM позволяет при помощи простой формы запроса получить информацию о потоках трафика, сессиях, параметрах абонента, вплоть до его номера телефона, и выгрузить все эти сведения в файл для предоставления запрашивающим.

Image Removed

  • Сетевую инфраструктуру, обеспечивающую подключение физических или виртуальных серверов WNAM
  • Физические или виртуальные машины с ОС Linux, для установки WNAM, СУБД и других компонентов
  • СМС-шлюзы или программные АТС для отправки идентификационной информации
  • Средства мониторинга
  • Средства резервного копирования

Мы настоятельно рекомендуем привлекать для этой цели системных интеграторов, имеющих опыт работы с нашей системой. Особенно, если речь касается построения сложной, нагруженной и распределенной инсталляции системы WNAM для нужда корпоративной авторизации. Получить рекомендации по выбору системного интегратора вы можете, отправив запрос на info@netams.com. Мы, как разработчики прикладного программного обеспечения, не можем порекомендовать вам "идеальный" дизайн сопутствующих систем: сетевой инфраструктуры, средств виртуализации, средств обеспечения информационной безопасности, резервного копирования, доменной структуры Windows и т.п. 

Приведенные ниже сценарии использования WNAM описывают типовые задачи, которые встречаются у наших клиентов гостевой и корпоративной авторизации. Мы настоятельно рекомендуем придерживаться одного из следующих примеров при проектировании и развертывании WNAM у вас. 

Первым делом, вам необходимо изучить принципы работы основных способов авторизации:

Сценарий гостевой авторизации